Le chiavi del nostro “mondo digitale”
Il tema della gestione delle password sui nostri dispositivi (computer, tablet, smartphone, …) oppure sui gestionali o siti web personali e aziendali, è sempre stato di attualità, ma oggi è (e deve esserlo) più di prima.
La pigrizia ci induce spesso ad usare password facili da memorizzare e, al contempo, le ripetiamo per accedere a servizi diversi. In rete e sui dispositivi abbiamo molteplici accessi: un utente medio utilizza dai 50 ai 300 login diversi (banche, social, e-commerce, assicurazioni, bollette, assistenza, servizi vari, e-learning, caselle di posta, PEC, SPID, cassetto fiscale, INPS, fascicolo sanitario, referti, …).
Riflettiamo su cosa abbiamo “salvato” nel nostro universo digitale e a cosa accediamo tramite un nome utente ed una password. Non possiamo giustificarci dicendo che i dati che abbiamo protetto con password non sono così importanti e che se li perdiamo non succede niente. O che a noi certe cose non accadono… il punto non è se ci accadrà, ma quando ci accadrà.
Puoi provare a fare questo breve esercizio (anche solo a livello mentale):
1. elenca i dispositivi di cui hai una password o un pin (computer personali, aziendali, smartphone, tablet, console di videogiochi)
2. elenca tutti i siti e le app a cui hai accesso con una password
3. segna quelli che hanno la stessa password o password simili (ad esempio, dove hai cambiato una cifra o una lettera)
4. prova ad immaginare cosa potrebbe accadere se le password finissero in mano a malintenzionati capaci di approfittare dei tuoi accessi ed utilizzare i tuoi dati per i loro scopi
La nostra vita potrebbe subire un grosso colpo, economicamente e socialmente, se qualcuno riuscisse ad accedere ai nostri dati. Proviamo a pensare: lasceremmo le chiavi di casa sulla toppa o sotto lo zerbino? Lasceremmo il codice dell’allarme di casa scritto sotto il tastierino? Sicuramente non lo faremmo, di conseguenza lo stesso ragionamento deve essere applicato anche per le password che utilizziamo, le chiavi di accesso al nostro mondo digitale.
Quanto sono sicure le tue password?
Come accennato prima, la pigrizia potrebbe indurci ad usare password facili da memorizzare e ad usarle più volte per accedere a servizi diversi. Se effettuiamo una veloce ricerca sul web, le password più utilizzate dagli italiani risultano essere le seguenti:
1. admin
2. 123456
3. password
4. Password
5. 12345678
6. 23456789
7. password99
8. qwerty
9. UNKNOWN
10. 12345
Inoltre, se si utilizza la stessa password per più accessi, nel momento in cui un hacker viola un sito otterrebbe le chiavi di tutte le nostre “stanze”, e questo succede molto più di frequente di quanto pensiamo.
Ormai esistono strumenti che riescono a decodificare una password in tempi brevissimi. Si tratta di programmi che vengono utilizzati per effettuare i cosiddetti “attacchi di forza bruta” e sono strumenti di cui può disporre qualunque hacker: il programma prova tutte le possibili combinazioni di lettere, cifre e caratteri speciali fino a quando non trova quella giusta. I primi tentativi che vengono fatti da questi programmi sono proprio le password più banali e comuni.
Per difendersi da questo tipo di attacchi, l’unica possibilità è la complessità della password (ed eventualmente l’utilizzo di altri sistemi di autenticazione come la 2FA, l’autenticazione a due fattori).
Cosa evitare
Ci sono alcune semplici regole per costruire e mantenere delle password più sicure:
• non usare password legate a cose personali come il proprio nome, la data di nascita o il nome dell’animale domestico
• non usare password legate alle storie che pubblichiamo sui social
• non comunicare mai le password via mail, magari abbinate al nome utente (la mail non è uno strumento sicuro); piuttosto, è meglio inviare il nome utente via mail e la password via Whatsapp, SMS o telefono
• non scrivere le password su fogli o post-it visibili a tutti
• non salvare un file, magari in chiaro sul pc, con il nome “password”
Come costruire una password “forte”
Le cosiddette “password forti” sono difficili da indovinare per un eventuale hacker e risultano più sicure, ma come si costruiscono?
Oggi una password dovrebbe essere di almeno 12 caratteri compresi i caratteri speciali “# %&/?!”. Il motivo dei 12 caratteri è legato a una questione di tempo: infatti, il numero delle combinazioni possibili cresce in modo esponenziale aumentando il numero dei caratteri. Per decifrare una password di 12 caratteri ci vorrebbero diverse centinaia di anni con la tecnologia odierna, anche se questa sta velocemente migliorando e il tempo necessario per decifrare una password di questo tipo diminuisce sempre di più.
Se la password è composta da 7 lettere, un hacker impiegherà circa 10 minuti per decifrarla. Tuttavia, se si utilizza una password comune come il compleanno, allora ci vorrà meno di un millisecondo per essere decifrata.
A parte la questione della lunghezza, come puoi sapere che la password che stai creando è sufficientemente complessa? Esistono diversi siti che controllano la forza e la sicurezza di una password, il più conosciuto è sicuramente https://www.security.org/how-secure-is-my-password/, ma ce ne sono anche molti altri. Basterà digitare su un motore di ricerca gli input “password checker” o “robustezza password” per trovarli.
Inserendo la password che si vuole testare in questi siti, verrà calcolato il tempo necessario alla sua decodifica e se quella password è già stata individuata in attacchi precedenti.
Di seguito una serie di buone prassi per la creazione di una password sicura:
• non usare mai la stessa password su account diversi
• utilizzare almeno 12 caratteri
• utilizzare caratteri, numeri e caratteri speciali
• evitare parole di senso compiuto
• evitare parole scritte al contrario
• evitare riferimenti familiari facilmente recuperabili in rete
• evitare di sostituire le lettere comuni con simboli come “@ 1 ! 3”, ad esempio scrivere “F@b10!” al posto di “fabio!”
• cambiare spesso la password, almeno ogni tre mesi, evitando di modificare solo un elemento, meglio riscriverla completamente
Ricordarsi tante password complesse non è semplice, però ci sono degli strumenti che ci possono aiutare: si tratta dei “password manager”, ovvero programmi e app che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web, rendendoli disponibili all’utente quando ne ha bisogno.
Vuoi scoprire se uno dei tuoi account è stato violato?
Utilizza il sito https://haveibeenpwned.com/: dispone di un archivio di oltre 5 miliardi di account violati. È sufficiente inserire il proprio account, ad esempio: nomecognome@azienda.it, per sapere se è stato oggetto di qualche “incidente” informatico.
Nel caso in cui quell’account fosse stato violato, il sito mostrerà dove e quando l’account è stato coinvolto (ad esempio, un attacco informatico verso un sito dove vi eravate registrati). In questo caso, anche se è passato diverso tempo, è buona prassi cambiare la password di quel sito e degli altri eventuali siti in cui è stata riutilizzata.
Conclusione
Fare attenzione alla sicurezza dei nostri accessi online è cruciale sia per salvaguardare i tuoi dati personali, sia per quelli della tua azienda. Di seguito ti lasciamo alcuni siti utili per creare delle password sicure e verificare quelle esistenti:
–https://www.cybersecurity360.it/nuove-minacce/brute-force-cosa-sono-gli-attacchi-a-forza-bruta-come-farli-e-prevenirli/
–https://www.troyhunt.com/only-secure-password-is-one-you-cant/ (in inglese ma può facilmente essere tradotto con i traduttori online)
–https://www.zerounoweb.it/techtarget/searchsecurity/generatore-password-sicura/
–https://haveibeenpwned.com/
–https://www.security.org/how-secure-is-my-password/
Ricorda che l’Area Legale di Ascom Padova offre un servizio dedicato a sostenere le aziende in materia di cybersecurity, privacy e conformità al GDPR.
Puoi richiederci informazioni per l’adeguamento al GDPR Privacy compilando il form a questo link.
Contattaci legale@ascompd.com o chiamaci 049/8209741.
Ascom Servizi Padova spa
Padova, 12 novembre 2025